1 votes

CommonsWare avatar

Chaîne de certificats intermédiaires SSL123 SHA-2 de Thawte, cassée ?

Demandé el 13 de Décembre, 2014
Quand la question a-t-elle été
3078 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai essayé de mettre à jour mon seul site Web, en exécutant nginx pour passer d'un certificat SSL123 SHA-1 à un certificat SHA-2.

Thawte Page web avec CA intermédiaires possède les tables "RSA SHA-2 (sous SHA-1 Root)" et "RSA SHA-2 (sous SHA-2 Root)".

Si j'utilise la liasse CA pour "under SHA-1 Root", je vois que le bundle contient deux certificats, et mon site Web fonctionne. Cependant, le test SSL de Qualys me reproche à juste titre d'avoir un certificat SHA-2 avec SHA-1 dans la chaîne de certificats.

Cependant, le tableau "under SHA-2 Root" ne contient pas de bundles. Si j'utilise le certificat intermédiaire unique ils y sont fournis, Firefox et d'autres outils signalent que la chaîne de certificats est rompue, et les navigateurs ne chargent pas mon site.

Pour l'instant, j'utilise la racine SHA-1 pour avoir un site fonctionnel. Cependant, je voudrais passer à la racine SHA-2.

Où puis-je obtenir le certificat intermédiaire manquant ? Ou, si ce n'est pas le problème, comment puis-je créer un fichier de certificat combiné pour le SSL123 de Thawte avec un certificat SHA-2 avec une chaîne complète de certificats intermédiaires SHA-2 ?

Merci !

Demandé el 13 de Décembre, 2014 par CommonsWare

Réponses

Trop de publicités?

3voto

Jacob avatar
Jacob Points 1861

Votre propre certificat est signé par exactement un certificat.

Cela signifie que votre certificat se trouve à l'une des extrémités d'une seule de ces chaînes Thawte, vous auriez besoin d'un certificat différent pour être dans l'autre chaîne (un certificat signé par le certificat intermédiaire de cette chaîne).

Quant à la signature de l certificat racine qu'il s'agisse de SHA-1, SHA-2 ou autre, cela n'a que peu d'importance par rapport aux autres certificats de la chaîne car la partie qui valide possède déjà les certificats racine auxquels elle fait confiance, elle n'a pas besoin d'une signature pour vérifier les racines. (Voir par exemple Dépréciation de SHA1 : Ce que vous devez savoir .)

L'examen des certificats dans le Thawte SSL123 SHA-2 (sous SHA1-Root) Il s'avère que l'un des certificats intermédiaires ("Primary Intermediate CA") est également SHA-1 (pas seulement la racine). Il est presque certain que c'est ce certificat qui vous a été "dingué". Pour résoudre ce problème, vous devez demander à Thawte de vous délivrer un nouveau certificat signé par le certificat intermédiaire de l'autre chaîne.

Répondu el 13 de Décembre, 2014 par Jacob (1861 Points )

0 votes

Avatar de CommonsWare

C'est logique. Ce qui n'est pas logique, c'est pourquoi Thawte émettrait des certificats qui remontent la chaîne SHA-1 ici en décembre 2014. Je vais voir si j'obtiens l'aide du support technique lundi, et je reviendrai sur cette question s'ils confirment ce que vous dites. Merci beaucoup !

Commenté el 13 de Décembre, 2014 par CommonsWare

1voto

CommonsWare avatar
CommonsWare Points 121

Il s'avère que le site de Thawte est tout simplement déroutant pour les personnes qui ne travaillent pas beaucoup avec les certificats SSL.

Malgré le fait qu'il y a deux certificats affichés pour SSL123 SHA2 sous SHA-1 Root vous n'avez besoin que du premier. Le deuxième certificat es la racine SHA-1, et vous n'avez pas besoin qu'elle soit concaténée avec le cert de votre site pour le déploiement vers nginx . Il suffit d'utiliser le premier certificat, et vous êtes prêt à partir.

Répondu el 21 de Décembre, 2014 par CommonsWare (121 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X